Im Internet droht neue Gefahr

Die IT-Sicherheitsexperten Robert Hansen von SecTheory und Jeremiah Grossman von WhiteHat Security wollten eigentlich einen Vortrag auf der OWASP-Konferenz (Open Web Application Security Project) halten. Thema sollte Clickjacking, also die Manipulation von Elementen auf Webseiten, sein.

Vortrag abgesagt

In letzter Minute zogen Grossman und Hansen ihre Präsentation aber zurück. Der Softwarehersteller Adobe hatte sie darum gebeten. Ein Adobe-Programm kann offenbar dank Sicherheitslücken leicht zum Clickjacking benutzt werden. Welche Software das ist, teilten die Forscher indes nicht mit. In vielen Sicherheits-Blogs ist vom Adobe Flash-Player die Rede. Einige Ergebnisse ihrer Forschungen gaben Hansen und Grossman Konferenzteilnehmern dann aber doch noch preis.

Bisher sei Clickjacking vor allem zur Manipulation von Umfragen und Klickzahlen verbunden worden. Mit dieser Methode könne man jedoch grösseren Schaden anrichten als bisher gemeinhin angenommen, so die Forscher.

Kriminelle könnten auf einer Website durchsichtige Banner über Schaltflächen platzieren. Wird zum Beispiel ein Anmeldefenster überlagert, werden die persönlichen Daten, sobald man auf Einloggen klickt, an Rechner der Hacker gesendet.

Ungewollte Downloads

Eine andere Möglichkeit sei der Download von Schadprogrammen. Hansen erwähnte ausserdem eine Script-Aktion, die der Nutzer auslösen kann. Dabei werde der Router des Opfers beauftragt, alle Firewall-Regeln zu löschen.

Laut Hansen und Grossman betrifft Clickjacking alle Browser sowie einige Plugins, die zur Darstellung interaktiver Internet-Inhalte genutzt werden. Die Sicherheitsforscher haben die wichtigsten Softwareanbieter informiert. Die Firmen arbeiten nach eigenen Angaben mit Hochdruck an Lösungen.

Plugin bietet Schutz

Robert Hansen sagte, Firefox-Nutzer, die das Plugin NoScript installiert hätten, könnten ihren Computer vor fast allen Angriffen schützen. Die Konfiguration des Tools sei allerdings nur etwas für erfahrene Anwender.